是否有可能使ASP.NET MVC变化AntiForgeryToken值每个验证后?
-
19-09-2019 - |
题
我们刚刚有一些渗透测试上,我们已经使用ASP.NET MVC构建的应用程序进行,那回来的建议之一是,AntiForgeryToken在表格的价值可能被重新提交多次,在单次使用后不到期。
按照 OWASP建议的周围的同步标记模式:
“一般来说,开发人员只需要为当前会话产生此令牌一次。”
这是我怎么想的ASP.NET MVC AntiForgeryToken工作。
在情况下,我们不得不投入战斗,是有可能导致AntiForgeryToken每个验证后重新生成新的价值?
解决方案
在防伪标记仅仅是一个反XSRF令牌。特别是,它是的不强>单次使用随机数。如果你需要一个一次性使用的随机数为您的应用程序,您不能使用防伪标记用于此目的。有没有内置的功能这一点。
其他提示
也许你可以使用三个参数的构造函数使用AntiForgeryToken
使用盐始终建议,也限制由域和路径令牌将让您的令牌更安全和每个网页唯一的。
如果您没有XSS漏洞这个问题是不会在你的网站弄得一塌糊涂:) //难道我写这篇文章?当然我没有读好这个问题。
干杯!
不隶属于 StackOverflow